في مارس 2023، أصدر البيت الأبيض قرارًا جديدًا الاستراتيجية الوطنية للأمن السيبراني. تحدد الاستراتيجية قائمة من 5 ركائز يعتبرها البيت الأبيض حاسمة لتحسين الأمن السيبراني لجميع الأميركيين، في القطاعين العام والخاص. وتتناول الركيزة الثالثة الدافع لتشكيل قوى السوق لتحسين الأمن والقدرة على الصمود. جزء من هذه القائمة هو فكرة أن الكثير من منتجي البرمجيات لا يستثمرون بشكل صحيح في الأمن السيبراني أو الاختبار المناسب ويتجنبون المسؤولية بموجب العقد. في كثير من الأحيان، يمكنك أن تجد في اتفاقيات المستخدم شيئًا صغيرًا مثل: "يوافق المرخص له على تعويض المرخص وحمايته من وضد جميع الخسائر أو التكاليف أو النفقات أو المسؤولية (بما في ذلك أتعاب المحاماة المعقولة) الناشئة عن مطالبة من قبل طرف ثالث ضد المرخص بناءً على استخدام المرخص له للبرنامج." (شاهد المزيد هنا)
وفي حين أن الشركات الكبرى لديها القوة والمال لإنفاذ مثل هذه العقود، فإن البيت الأبيض يعتبر منتجي البرامج والأجهزة مسؤولين في نهاية المطاف عن البرامج والأجهزة التي ينتجونها. للاقتباس من وثيقة الاستراتيجية: "يجب وضع المسؤولية على عاتق أصحاب المصلحة الأكثر قدرة على اتخاذ الإجراءات اللازمة لمنع النتائج السيئة، وليس على المستخدمين النهائيين الذين يتحملون في كثير من الأحيان عواقب البرامج غير الآمنة ولا على مطور المصدر المفتوح للمكون الذي يتم دمجها في منتج تجاري."
يقترح البيت الأبيض تطوير تشريع يحدد المسؤولية عن منتجات وخدمات البرمجيات. قد تبدو مثل هذه المسؤولية مخيفة إذا كنت شركة تعتمد حتى الآن على تبادل اللوم واتفاقيات المستخدم المبهمة للتهرب من هذا النوع من المشاكل القانونية. بل إن الأمر أكثر إثارة للقلق إذا أخذنا في الاعتبار السهولة التي يتم بها تقديم مثل هذه المطالبات إلى النظام القانوني الأمريكي.
ولتقديم الجزرة لجميع تلك الشركات القوية، تقترح الإستراتيجية تطوير إطار عمل Safe Harbor لحماية الشركات التي يمكنها إثبات أنها فعلت كل ما ينبغي عليها من أجل حماية برامجها من المسؤولية. يظهر مصطلح Safe Harbor في الوثيقة مرتين فقط. ربما تتساءل ما هو بالضبط هذا الإطار المقترح، ومن أين أتى، وما هي المصطلحات التي يتم تغطيتها حاليًا أو المقترح تغطيتها.
في هذه المقالة، سنلقي نظرة على قوانين Safe Harbor الحالية ونرى أين يتم تطبيقها حاليًا وما الذي تقدمه لتلك الشركات التي تلتزم بها.
ما هي قوانين الملاذ الآمن الحالية؟ استكشاف القوانين التي توفر حاليا الملاذ الآمن
اعتبارًا من اليوم، قدمت عدة ولايات البيانات الاختراق قوانين "الملاذ الآمن" للتقاضي والتي تقدم دفاعًا إيجابيًا عن المسؤولية الناتجة عن انتهاكات البيانات بهدف تشجيع الشركات على أن تكون استباقية فيما يتعلق بأمنها السيبراني. يجب على المنظمة تنفيذ وصيانة برامج الأمن السيبراني التي تلتزم بمعايير أفضل الممارسات المعترف بها في الصناعة وتكون قادرة على إثبات الامتثال المعقول لها في وقت الانتهاك من أجل التأهل لحماية الملاذ الآمن.
أوهايو كانت أول دولة تجتاز الدفاع الإيجابي للأمن السيبراني في عام 2018. كونيتيكت يوتا اعتمدت مؤخرًا قوانينها في عام 2021. وقد اقترحت عدة ولايات أخرى قوانين مماثلة للملاذ الآمن. على وجه الخصوص، من قبل أيوا ونيوجيرسي في عام 2020 ومن قبل جورجيا وإلينوي في عام 2021 (انظر هنا لمزيد من التفاصيل). في حين أن كل هذه المقترحات توفر للشركات التي لديها برامج للأمن السيبراني دفاعًا إيجابيًا، فإن الشروط الدقيقة تعتمد على الدولة. على سبيل المثال، لم يتم إدراج أطر معايير الصناعة المذكورة في مشاريع قوانين كونيتيكت وأوهايو ويوتا بشكل محدد في مشروع قانون جورجيا. وبدلاً من ذلك، يفرض قانون جورجيا إطارًا "معقولًا" يأخذ في الاعتبار حجم الشركة وتعقيدها وحساسية المعلومات التي تتم حمايتها. على الرغم من أن هذه الاستراتيجية هي عنصر أساسي في القوانين في الولايات الأخرى، يبدو أن مشروع قانون جورجيا قد اتخذ قرارًا بعدم تقييد الخيارات على تلك الأطر المحددة.
فيما يتعلق بالمعايير المقبولة، فإن إطار الأمن السيبراني الأكثر شيوعًا في الولايات المتحدة اليوم هو SSDF الخاص بـ NIST (نيست 800-218) وهذا الإطار مذكور أيضًا في ورقة استراتيجية البيت الأبيض أيضًا.
من المهم ملاحظة أنه في أي من هذه الحالات تكون الحماية من المسؤولية مطلقة. لا يمكن استخدام Safe Harbor كوسيلة دفاع إذا كانت المنظمة على علم بوجود تهديد أو ثغرة أمنية وفشلت في اتخاذ إجراء معقول لمعالجتها في الوقت المناسب، مما يؤدي إلى خرق البيانات. بشكل عام، الفكرة وراء التشريع هي تشجيع الشركات على ممارسة أفضل الممارسات لحماية نفسها. إذا فشلوا في القيام بالحد الأدنى الذي تتطلبه أفضل الممارسات المعترف بها في الصناعة، فلا يمكن إعفائهم من مسؤوليتهم عند حدوث خرق للبيانات حتمًا.
ما هو دور CISA في استراتيجية الأمن السيبراني هذه؟
في أبريل 2023، أصدرت CISA دليلًا مشتركًا جديدًا لأمن البرامج يسمى تغيير ميزان مخاطر الأمن السيبراني: الأمن حسب التصميم والمبادئ الافتراضية. صدر دليل السياسة هذا بعد حوالي شهر من إصدار ورقة استراتيجية البيت الأبيض ويمكن رؤية تأثيرها بوضوح. وبدعم من العديد من وكالات الأمن السيبراني من جميع أنحاء العالم، تهدف CISA إلى اتباع نفس النهج الذي يقترحه البيت الأبيض وجعله عالميًا. يهدف الدليل إلى الحصول على يجب على مصنعي البرمجيات تحمل المسؤولية عن منتجاتهم وأكوادهم باستخدام الشفافية الجذرية وبناء منتجات آمنة، وتطوير منتجات آمنة حسب التصميم وآمنة افتراضيًا.
هناك طبقة أخرى من المعلومات المفيدة حول مكوناتك وهي الترخيص الخاص بها. تأتي الكثير من المكونات مفتوحة المصدر بترخيص غير متوافق مع الاستخدام التجاري. من المهم التأكد من أن جميع مكوناتك مفتوحة المصدر، حتى تلك التي لم تقم بتضمينها بنفسك ولكن تم تضمينها بواسطة مكون آخر، متوافقة مع كل ما تحاول القيام به فيما يتعلق بترخيصها.
تم توسيع هذه الأفكار الأساسية في دليل CISA، والذي يقدم أيضًا لمطوري البرامج قائمة طويلة من التوصيات القابلة للتنفيذ لجعل منتجاتهم أكثر أمانًا.
من المثير للاهتمام معرفة عدد هذه التوصيات المحددة التي تستند إليها إطار SSDF الخاص بـ NIST ولكن يتم التعبير عنها بطريقة أقل طوعية وأكثر عملية. على سبيل المثال، ينص الدليل على أنه يجب على مطوري البرامج دمج إنشاء an سبوم في SDLC الخاصة بهم لتوفير رؤية لمكونات برامجهم. على الرغم من أن SSDF يوصي بـ SBOM، إلا أنه لم يتم ذكره مطلقًا كتعليمات واضحة وإلزامية.
تقنين نقل المسؤولية
تقترح الإستراتيجية الوطنية للأمن السيبراني، أو على الأقل هذا الجزء منها، إنشاء إطار عمل موحد للملاذ الآمن يعتمد على قوانين الولاية الحالية ولكنه أكثر شمولاً وشمولاً. لسبب واحد، توفر القوانين الحالية الحماية من المسؤولية فقط في حالة انتهاك البيانات. سيعمل الإطار المقترح على تحمل أي مسؤولية عن حادث سيبراني طالما أن الشركة التي تتم محاكمتها يمكنها إثبات امتثالها لأفضل الممارسات الحالية مثل SSDF.
يجب أن يكون الإطار المقترح قابلاً للتكيف وأن يكون قادرًا على التطور ليشمل أطر عمل أمنية جديدة وأفضل الممارسات الجديدة عند اكتشافها وتنفيذها. تقترح الإستراتيجية مواصلة الاستثمار في برامج الكشف عن الأمان وفي تطوير أدوات SBOM الإضافية وحالات الاستخدام.
لا يمكن للنظام البيئي للبرمجيات أن يستمر في التقدم كما هو الحال حتى الآن دون حدوث تحول جدي في المسؤولية. يجب أن يكون واضحًا للجميع، المنتجين والمستخدمين على حدٍ سواء، أن الأمان يأتي أولاً وقبل كل شيء في أي منتج برمجي، بدءًا من الفكرة الأولية ومرحلة التصميم فصاعدًا. لا ينبغي أن تتم إضافة الأمان كفكرة لاحقة بعد الانتهاء من التطوير. لا يمكن أن يحدث تحول المسؤولية بدون القطاع الخاص، وبما أن هذا القطاع معروف بكرهه للتدخل الفيدرالي الثقيل، فإن فكرة تقديم "الجزرة" في شكل بطاقة "الخروج من السجن مجانًا" تعد حافزًا جيدًا .
كيفية إثبات الالتزام بأفضل ممارسات الأمن السيبراني
إن وجود قانون ينص على أنك بحاجة إلى "إثبات التزامك بأفضل الممارسات الحالية" هو أمر جيد وجيد، فكيف ستفعل ذلك؟ تشجع اللوائح الأمريكية الحالية وأفضل الممارسات مثل SSDF منتجي البرامج على الاستفادة منها شهادات لتأمين سلسلة التوريد الخاصة بهم وبالتالي لتقديم مثل هذا الدليل.
الشهادات هي أدلة يمكن التحقق منها وموقعة بالتشفير (مثل الملفات أو المجلدات أو المستودعات أو مصدر الملف أو نتائج الاختبار). ويجب أن تكون هذه الأدلة مرتبطة بسياق بيئي محدد، مما يجعل الشهادة دليلاً ثابتاً يمكن التحقق منه لإثبات وجود الحدث أو الملف الذي تم الشهادة عليه.
يقدم الكاتب أداة تسمى فالينت الذي يوفر القدرة على إنشاء الأدلة، وتوقيعها في شهادة، ثم استردادها والتحقق منها لاحقًا. باستخدام هذه الأداة بالتزامن مع منصة الكاتب المحور يمكنك إنشاء دليل من الشهادات ليس فقط لمنتجك النهائي ولكن لكل من الإصدارات المؤدية إليه، مما يوضح التزامك بأفضل ممارسات الأمان باستمرار وبمرور الوقت بدلاً من مجرد نقطة فردية، مثل بعد الانتهاء من البناء مباشرة .
تقدم Scribe استخدام Valint مجانًا وتوفر استخدام منصتها على أساس freemium – يمكنك البدء في تجربتها مجانًا الآن. جرب الكاتب مجانا واطلع على الأدوات والإمكانيات التي يقدمها لك. إن جمع مثل هذه الأدلة بشكل مستمر لكل تصميم من تصميماتك يمكن أن يوفر لك أيضًا منظورًا فريدًا لأمن منتجاتك مع مرور الوقت. نظرًا لأنه يبدو أن رياح التغيير السائدة تشير إلى توسيع مسؤولية منتجي البرمجيات، يبدو أنها فكرة جيدة أن تبدأ في جمع الأدلة والشهادات القوية الآن، بدلاً من الانتظار حتى يتم تدوينها في القانون.
يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.
الوظائف ذات الصلة
